Kivuz

KVKK KAPSAMINDA E-TİCARET ŞİRKETLERİNİN YÜKÜMLÜLÜKLERİ

Günümüz ticari alışkanlıkları ve son dönemlere içinde bulunulan küresel salgın nedeniyle hem dünyada hem ülkemizde online ticaret alışkanlıkları artmış bulunmakta. Özellikle alışveriş için elde edinilen ya da kampanyalarda toplanılan kişisel veriler hususunda e-ticaret şirketleri birer veri sorumlusu haline gelmiştir. Bu nedenle bu şirketlerin KVKK kapsamındaki yükümlülükleri gündeme gelmektedir.

E-Ticaret ve E-Ticaret Şirketi Nedir?
Elektronik ticaret veya kısa adıyla “e-ticaret”, ticari faaliyetin tarafların bir araya gelmeksizin elektronik araçlarla çevrimiçi ortamda gerçekleştirilmesidir. Nitekim Elektronik Ticaretin Düzenlenmesi Hakkında Kanun da e-ticareti “fiziki olarak karşı karşıya gelmeksizin, elektronik ortamda gerçekleştirilen çevrimiçi iktisadi ve ticari her türlü faaliyet” olarak tanımlamıştır. Dolayısıyla ticari bir aktivitenin e-ticaret sayılabilmesi için en temel şart, ticari veya ekonomik faaliyetin elektronik ortamda ve çevrimiçi yürütülmesidir.

Mesai saatleri veya coğrafi sınırlara bağımlı kalmadan 7/24 işlem imkânı tanıyan e-ticaret faaliyetinde bulunabilmek için ise e-ticaret şirketi kurulması gerekir. E-ticaret şirketleri faaliyetlerini ilgili çevrimiçi mağazayı barındıran internet sitesi aracılığıyla gerçekleştirir. E-ticaret sitesi, temelde internet tabanlı bir yazılım olup, e-ticaret şirketine ait olan ve sitede görüntülenen ürünlerin ödeme alt yapıları aracılığıyla satın alınmasına imkân sağlamaktadır.

E-Ticaret Şirketleri Hangi Kişisel Verileri İşler?
E-ticaret şirketleri, herhangi bir e-ticaret sitesi üzerinden üyelik mekanizması yoluyla veya bazen üyelik olmaksızın kullanıcıların bir takım kişisel verilerini almaktadırlar. Bu kapsamda kullanıcılardan ad, soyad, adres, telefon, TC kimlik numarası, ödeme bilgileri, ilgi alanları gibi bilgiler doğrudan alışveriş sırasında ya da site üzerinden üyelik oluşturma esnasında istenebilmektedir. Kullanıcıların e-ticaret sitelerini ziyaretleri sırasında çerezler vasıtasıyla da görüntülenen sayfa sayısı, ziyaret süresi, site gezinme alışkanlıkları, lokasyon, IP, zaman bilgisi gibi kişi ile eşleştirilebilecek bilgiler toplanmakta ve ilgili sayfa kapatılsa dahi yine tarayıcıya atanmış olan çerezler sayesinde kullanıcı izlenmeye devam edilmektedir.

KVKK’ya Göre E-Ticaret Açısından Veri Sorumlusu Kimdir?
KVKK’nın 3. maddesinde veri sorumlusu “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” şeklinde tanımlanmıştır. Bu çerçevede elektronik ticaret faaliyetinde bulunan hizmet sağlayıcı e-ticaret şirketi, KVKK kapsamında veri sorumlusudur. Veri sorumlusu e-ticaret şirketi, e-ticaret sitesi aracılığıyla kullanıcılara ait kişisel verileri elde etmekte, kaydetmekte, depolamakta, muhafaza etmekte, değiştirebilmekte veya aktarabilmektedir.

E-Ticaret Şirketlerinin KVKK Kapsamında Yükümlülükleri Nelerdir?
Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 10. madde hükmüne göre hizmet sağlayıcı bu kanun çerçevesinde yapmış olduğu işlemler nedeniyle elde ettiği kişisel verilerin saklanmasından ve güvenliğinden sorumludur. Kişisel verileri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz. Dolayısıyla e-ticaret şirketleri hem Elektronik Ticaretin Düzenlenmesi Hakkında Kanun uyarınca hem de verim sorumlusu olarak KVKK uyarınca birçok yükümlülüğe sahiptir.

Aydınlatma Yükümlülüğü
Veri sorumlusunun asli yükümlülüklerden biri, KVKK’nın 10. maddesinde düzenlenen ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında usul ve esasları düzenlenen aydınlatma yükümlülüğüdür. KVKK’dan kaynaklı aydınlatma yükümlülüğünün yerine getirilmiş olması için, kişisel verileri işlenen kişiler, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi hakkında bilgilendirilmiş olmalıdır.

KVKK, veri sorumlusu sıfatını haiz şirketlerin aydınlatma yükümlülüğünü herhangi bir şekil şartına bağlamamıştır. Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliği 5. maddesinde aydınlatma yükümlülüğünün “sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamda kullanılmak suretiyle” yerine getirilebileceği öngörülmektedir.

Bu çerçevede, e-ticaret şirketlerinin KVKK’ya uyum sağlamak için 10. maddede sayılan asgari unsurları içeren bir aydınlatma metnini internet sitelerinde yayımlamaları gerekmektedir. Ayrıca kullanıcıdan çeşitli onaylama mekanizmaları aracılığıyla aydınlatıldığına dair beyan alınmalıdır. Bu çerçevede örneğin kullanıcıya aydınlatıldığını gösterir “evet”, “okudum” gibi onay ifadesi içeren tıklama veya işaretleme şeklinde oluşturulmuş bir onay kutusu sunulması gerekmektedir.

Üyelik oluşturulması sırasında elde edilen veriler, Kanun’daki kişisel veri tanımı çerçevesinde doğrudan kişiyi tanımlayabilecek bilgilerdir. Ancak çerez yönteminde, tüketicinin siteyi nasıl kullandığı, IP adresleri ve lokasyon bilgileri, siteyi ziyaret zamanları gibi bilgiler elde edilmektedir ki bu bilgiler aracılığı ile de kişilerin belirlenebilmesi mümkündür. Çerezler yöntemi ile toplanan veriler açısından da ilgili veri sahiplerinin aydınlatılmaları ve rızalarının alınması gerekmektedir.

Veri sorumlusunun aydınlatma yükümlülüğü kapsamında işlenen kişisel verileri ve hukuki sebeplerini açıkça ortaya koymadığı iddia edilmekte olduğu bir olayda Kişisel Verileri Koruma Kurulu; sitedeki aydınlatma metninin, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de yer verilen hükümler dikkate alınmak suretiyle güncellenmesine karar vermiştir.

Kişisel bilgi verilerin kullanım amacı gizlilik politikasında da açıkça belirtilmelidir. Ancak uygulamada aydınlatma metinlerinin, genellikle işleme faaliyeti ile sınırlı olmayan gizlilik politikalarıyla aynı işlevde kullanıldığı görülmekte olup veri sorumlusu için genel veri işleme belgesi niteliğinde olan gizlilik politikaları aydınlatma metinleri olarak kullanılmamalıdır.

Açık Rıza Alma Yükümlülüğü
E-ticaret şirketlerinin e-ticaret sitesi üzerinden ürün veya hizmet sağlanması sürecinde kullanıcı ile bir sözleşme akdedildiyse açık rıza aranmamalıdır. Zira bu durumda KVKK’nın 5. maddesinin 2. fıkrasında öngörülmüş olan açık rızanın istisnalarından biri gerçekleşmiş olmaktadır. Ancak böyle bir istisnanın yokluğunda, tüketicinin açık rızasının alınması gerekmektedir. Açık rızanın alınması için kullanıcının iradesini açık bir şekilde ortaya koymasını sağlayacak “evet”, “kabul ediyorum” gibi onay ifade eden tıklama veya işaretleme şeklinde bir yöntem olabileceği gibi farklı yöntemlerin kullanılması da mümkündür.

Ayrıca e-ticaret siteleri, çerezleri etkin olarak kullanabilmek için kullanıcıların açık rızalarını almak zorundadırlar. Çerez; günlük hayatımızda ziyaret ettiğimiz internet sitelerinin bilgilerimizi kaydedip daha sonra yine aynı internet sitesine girdiğimiz takdirde bu bilgileri okuyabilmeleridir. Bunun dışında çerezler sıklıkla reklam tercihlerimizi belirlemek amacıyla tutulur. Çerez politikası ise internet sitesinin ziyaretçilerini, kullandıkları çerezler hakkında bilgilendiren bir metindir. Çerez politikasında; sitede kullanılan çerez türleri, bu çerezlerin kullanılma amaçları ile kullanıcıların çerez ayarlarını nasıl değiştirebileceği ve çerezleri nasıl silebileceğine dair bilgileri içermek zorundadır.

Veri Güvenliğine İlişkin Yükümlülükler
KVKK’nın 12. maddesine göre veri sorumlusu veri güvenliğine ilişkin yükümlülükleri kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu çerçevede e-ticaret şirketi, e-ticaret platformunda elde edilen verilerin güvenliğinin sağlanması için her türlü idari ve teknik alt yapıyı oluşturmakla yükümlüdür.
Bu tedbirler kapsamında e-ticaret sitelerinin taklit edilmesine karşı sayısal sertifikalardan, site güvenliği için SSL güvenlik katmanından, virüslerden korunmak için güvenlik duvarlarından faydalanılmalı, ödeme sistemlerinin emniyeti ve müşteri güvenliğini sağlamak için güvenli yazılımlar kullanılmalıdır.

Kişisel Verileri Koruma Kurulunun 27/04/2021 tarih ve 2021/427 sayılı Kararı ile; Bir e-ticaret sitesindeki partner firmaya, e-ticaret sitesinin hizmet aldığı yardım masası panelinde yapılan toplu yetkilendirme çalışması esnasında yanlış yetki verilmesi sonucunda üçüncü taraf diğer firmaların yardım masasında açtıkları bildirimlere erişim sağlamasıyla gerçekleşen veri ihlalinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında 600.000 TL idari para cezası uygulanmasına karar verilmiştir.

Okumaya devam edin...
Etiketler
Tarih: 22-06-2021
#kvkk
#gdpr
#eticaret